HOWTO: 使用 Intune 为组织用户启用安全密钥登录 Windows

        之前已经为大家分享了有关安全密钥配置和应用的日志，在开始前我们可以回顾两篇日志：“HOWTO: 使用安全密钥实现无密码登录 Windows”，“HOWTO: 为 Microsoft 365 用户启用安全密钥支持”。如果组织 IT 管理员希望为受管理的 Intune 客户端启用安全密钥登录 Windows，则需要配置相关的策略。我们可以通过 Intune 启用安全密钥，或以特定设备组为目标启用支持。

        要通过 Intune 启用安全密钥，首先访问 Intune Portal，即 Microsoft Endpoint Manager 管理中心，然后定位到“设备 - 注册设备 - Windows Hello 企业版”，设置“将安全密钥用于登录”为“已启用”。很奇怪这个安全密钥与 Windows Hello 企业版并没关系，不知道为什么会放在一起，很干扰用户的理解。设置完毕，当设备注册到 Intune 时就会启用安全密钥登录 Windows，我们可以从 OOBE 阶段进行体验。

        如果要为特定目标实施部署，则可以创建设备配置文件，使用自定义类别手动添加 OMA-URI，很奇怪这个策略竟然没有包含在管理模板中。OMA-URI 的具体配置如下：

• 名称：用于安全密钥登录 Windows（PS：可根据需要命名）
• 说明：可选
• 平台：Windows 10 及更高版本
• 配置文件类型：模板 - 自定义
• 自定义 OMA-URI 设置：
• 名称：开启安全密钥登录 Windows
• OMA-URI： ./Device/Vendor/MSFT/PassportForWork/SecurityKey/UserSecurityKeyForSignin
• 数据类型：整数
• 值：1

        该配置文件可分配给特定的用户、设备和组。此外还要注意的要点是使用包含多个账户的安全密钥登录或解锁 Windows 设备时，只会使用添加到安全密钥的最近一个账户，仅在 Web 方式登录时才能够选择要使用的账户。

        除了早先 gOxiA 介绍过的通过组策略（GPO）启用安全密钥登录外，今天我们还了解如何通过 Intune 来启用，此外我们还可以使用预配包为设备启用此功能。

        更详尽的介绍建议阅读微软官方文档：https://docs.microsoft.com/en-us/azure/active-directory/authentication/howto-authentication-passwordless-security-key-windows